Por Vismaya V
8 min lectura
La inteligencia artificial ha entregado a los atacantes de criptomonedas las mismas herramientas que utilizan los defensores, y los expertos dicen que los resultados están costando a la industria miles de millones.
Mitchell Amador, CEO de Immunefi, le dijo a Decrypt durante el inicio de la semana Token2049 en Singapur que la IA ha convertido el descubrimiento de vulnerabilidades en una explotación casi instantánea, y que las avanzadas herramientas de auditoría que su empresa construyó ya no son exclusivas de los buenos.
"Si tenemos eso, ¿puede el grupo norcoreano Lazarus construir herramientas similares? ¿Pueden los grupos de hackers rusos ucranianos construir herramientas similares?" preguntó Amador. "La respuesta es que pueden."
El agente de auditoría de IA de Immunefi supera a la gran mayoría de las firmas de auditoría tradicionales, pero esa misma capacidad está al alcance de operaciones de piratería bien financiadas, dijo.
"Las auditorías son geniales, pero no son ni de lejos suficientes para mantenerse al día con la tasa de innovación y la tasa de mejora compuesta de los atacantes", dijo.
Con más del 3% del valor total bloqueado robado en todo el ecosistema en 2024, Amador dijo que si bien la seguridad ya no es una idea secundaria, los proyectos "luchan por saber cómo invertir y cómo asignar recursos de manera efectiva".
La industria ha pasado de "un problema de priorización, que es algo maravilloso, a ser un problema de conocimiento y educación", agregó.
Según Amador, la IA también ha hecho que los ataques de ingeniería social sofisticados sean muy económicos.
"¿Cuánto crees que cuesta esa llamada telefónica?" dijo, refiriéndose a las llamadas de phishing generadas por IA que pueden suplantar a colegas con una precisión perturbadora. "Puedes ejecutar eso por centavos con un sistema bien pensado de indicaciones, y puedes ejecutar esas en masa. Esa es la parte aterradora de la IA."
El CEO de Immunefi dijo que grupos como Lazarus probablemente emplean "al menos unos cientos de personas, si no probablemente miles trabajando las 24 horas" en exploits de criptomonedas como una importante fuente de ingresos para la economía de Corea del Norte.
"Las presiones competitivas derivadas de las cuotas de ingresos anuales de Corea del Norte" llevan a los operativos a proteger activos individuales y "superar a los colegas" en lugar de coordinar mejoras de seguridad, según un reciente informe de inteligencia de SentinelLABS.
"El problema con los ataques impulsados por IA es que aceleran la velocidad a la que algo puede pasar de ser descubierto a ser explotado," dijo Amador a Decrypt. "Para defendernos contra eso, la única solución son contramedidas aún más rápidas."
La respuesta de Immunefi ha sido incrustar la IA directamente en los repositorios de GitHub de los desarrolladores y en los pipelines de CI/CD, detectando vulnerabilidades antes de que el código llegue a producción, señaló, al mismo tiempo que predice que este enfoque provocará una "caída precipitada" en los hackeos de DeFi en uno o dos años, reduciendo potencialmente los incidentes en otro orden de magnitud.
Dmytro Matviiv, CEO de la plataforma de recompensas por errores Web3 HackenProof, dijo a Decrypt que "las auditorías manuales siempre tendrán un lugar, pero su papel cambiará".
"Las herramientas de inteligencia artificial son cada vez más efectivas para detectar vulnerabilidades 'de bajo colgajo', lo que reduce la necesidad de revisiones manuales a gran escala de errores comunes", dijo. "Lo que queda son problemas sutiles, dependientes del contexto, que requieren una profunda experiencia humana."
Para defenderse contra los ataques impulsados por IA, Immunefi ha implementado una política de solo lista blanca para todos los recursos e infraestructura de la empresa, lo que Amador dijo que ha "detenido de manera muy efectiva miles de estas técnicas de spear phishing intentadas".
Pero este nivel de vigilancia no es práctico para la mayoría de las organizaciones, dijo, señalando "podemos hacerlo en Immunefi porque somos una empresa que vive y respira seguridad y vigilancia. Las personas normales no pueden hacer eso. Tienen vidas que vivir."
Immunefi ha facilitado más de $100 millones en recompensas a hackers éticos, con distribuciones mensuales constantes que van desde $1 millón hasta $5 millones. Sin embargo, Amador le dijo a *Decrypt* que la plataforma ha "alcanzado los límites" ya que no hay "suficientes ojos" para proporcionar la cobertura necesaria en toda la industria.
La limitación no se trata solo de la disponibilidad de investigadores, ya que las recompensas por errores enfrentan un problema intrínseco de juego de suma cero que crea incentivos perversos para ambas partes, según Amador.
Los investigadores deben revelar vulnerabilidades para demostrar que existen, pero pierden toda influencia una vez divulgadas. Immunefi mitiga esto negociando contratos completos que especifican todo antes de que ocurra la divulgación, dijo Amador.
Mientras tanto, Matviiv le dijo a Decrypt que no cree que "estemos cerca de agotar el grupo global de talento en seguridad", señalando que nuevos investigadores se unen a las plataformas anualmente y progresan rápidamente desde "hallazgos simples hasta vulnerabilidades altamente complejas".
"El desafío es hacer que el espacio sea lo suficientemente atractivo en términos de incentivos y comunidad para que esos nuevos rostros se queden."
Es probable que las recompensas por errores hayan alcanzado su "cenit en eficiencia" fuera de las innovaciones netas que ni siquiera existen en los programas tradicionales de recompensas por errores, agregó Amador.
La empresa está explorando soluciones híbridas de IA para dar a los investigadores individuales una mayor capacidad para auditar más protocolos a escala, pero estas permanecen en I+D.
Las recompensas por errores siguen siendo esenciales ya que "una comunidad externa diversa siempre estará mejor posicionada para descubrir casos límite que los sistemas automatizados o los equipos internos pasan por alto", señaló Matviiv, pero trabajarán cada vez más junto con escaneos, monitoreos y auditorías impulsados por IA en "modelos híbridos".
Si bien las auditorías de contratos inteligentes y las recompensas por errores han madurado considerablemente, los exploits más devastadores están evitando cada vez más por completo el código.
El hackeo de $1.400 millones de Bybit a principios de este año destacó este cambio, dijo Amador, con los atacantes comprometiendo la infraestructura frontal de Safe para reemplazar transacciones legítimas de multi-firma en lugar de explotar alguna vulnerabilidad en el contrato inteligente.
"Eso no habría sido detectado con una auditoría o recompensa por errores", dijo. "Se trató de un sistema de infraestructura interna comprometido".
A pesar de las mejoras en seguridad en áreas tradicionales como auditorías, pipelines CI/CD y recompensas por errores, Amador señaló que la industria "no está tan bien" en seguridad multi-firma, ataques de spear phishing, medidas contra estafas y protección de la comunidad.
Immunefi ha lanzado un producto de seguridad multi-firma que asigna hackers éticos de élite para revisar manualmente cada transacción significativa antes de su ejecución, lo que, según ellos, habría detectado el ataque a Bybit. Sin embargo, reconocieron que es una medida reactiva en lugar de preventiva.
Este progreso desigual explica por qué 2024 se convirtió en el peor año para los hacks a pesar de las mejoras en la seguridad del código, ya que los patrones de hack siguen una distribución matemática predecible, lo que hace que incidentes grandes únicos sean inevitables en lugar de anómalos, dijo Amador.
"Siempre habrá un gran valor atípico," dijo. "Y no es un valor atípico, es el patrón. Siempre hay un gran hack por año."
La seguridad de contratos inteligentes ha madurado considerablemente, dijo Matviiv, pero "la próxima frontera está definitivamente en torno a la superficie de ataque más amplia: configuraciones de billeteras multi-sig, gestión de claves, phishing, ataques de gobernanza y exploits a nivel de ecosistema."
La seguridad efectiva requiere detectar vulnerabilidades lo antes posible en el proceso de desarrollo, dijo Amador a Decrypt.
"La recompensa por errores es la segunda más costosa, siendo la más costosa el hackeo", dijo, describiendo una jerarquía de costos que aumenta drásticamente en cada etapa.
"Estamos detectando errores antes de que lleguen a producción, antes de que siquiera lleguen a una auditoría", agregó Amador. "Nunca se incluiría siquiera en una auditoría. No perderían su tiempo con eso."
Si bien la gravedad de los hackeos sigue siendo alta, Amador dijo que "la tasa de incidencia está disminuyendo, y el nivel de gravedad de la mayoría de los errores está disminuyendo, y estamos detectando más y más de estas cosas en las etapas iniciales del ciclo."
Cuando se le preguntó qué medida de seguridad única debería adoptar cada proyecto en Token2049, Amador pidió una "Plataforma de Seguridad Unificada", que aborde múltiples vectores de ataque.
Eso es esencial, ya que la seguridad fragmentada básicamente obliga a los proyectos a "investigar por sí mismos" sobre productos, limitaciones y flujos de trabajo, dijo.
"Todavía no hemos llegado al punto en el que podemos manejar billones y billones de activos. Simplemente no estamos aún en el momento óptimo."
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.